Vraag & Antwoord
infecties niet te verwijderen in MBAM
13 antwoorden
- Er worden 2 geinfecteerde bestanden gevonden in MBAM.
Ondanks verwijderen en opnieuw opstarten blijven de infecties terugkomen.
Tevens duurt het erg lang voordat de laptop opnieuw opstart of afsluit.
Wie weet een oplossing?
Onderstaand een hijack log en een MBAM log.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:08:56, on 24-10-2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18975)
Boot mode: Normal
Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehRecvr.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
C:\Program Files\iolo\Common\Lib\ioloServiceManager.exe
C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\ehome\ehsched.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\AutoSizer\AutoSizer.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\Program Files\iolo\System Mechanic\SystemGuardAlerter.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ig?hl=nl&t=0
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [iolo Startup] "C:\Program Files\iolo\Common\Lib\ioloLManager.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AutoSizer] "C:\Program Files\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloServiceManager.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
–
End of file - 5691 bytes
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Databaseversie: 4927
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975
24-10-2010 10:43:11
mbam-log-2010-10-24 (10-43-11).txt
Scantype: Snelle scan
Objecten gescand: 133215
Verstreken tijd: 7 minuut/minuten, 49 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 2
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1"-> Quarantined and deleted successfully.
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd) - Hoi Jos, je hebt MBAM niet geupdated!
[b:8c92d140fb]Herstart MBAM.[/b:8c92d140fb]
[list:8c92d140fb][*:8c92d140fb] Klik eerst op de tab 'Update'.
[*:8c92d140fb] Klik vervolgens op de knop 'Controleer op updates'.
[*:8c92d140fb] Indien een nieuwe versie van MBAM wordt aangeboden - ga hiermee akkoord.
[*:8c92d140fb] Nadat MBAM vernieuwd is eerst weer de updatecyclus opstarten.
[*:8c92d140fb] Daarna kies je voor 'Snelle Scan'[/list:u:8c92d140fb]
[list:8c92d140fb][*:8c92d140fb] Indien de scan voltooid is, klik dan op de knop 'OK'.
[*:8c92d140fb] Klik daarna op de knop 'Bekijk Resultaten' om de resultaten te zien.
[*:8c92d140fb] Zorg ervoor, dat alles aangevinkt is.
[*:8c92d140fb] Vervolgens klik je op: 'Verwijder geselecteerde'.
[*:8c92d140fb] Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.[/list:u:8c92d140fb]
[list:8c92d140fb][*:8c92d140fb] Het log wordt automatisch bewaard door 'MBAM en dat kan je terugvinden door op de tab 'Logs' te klikken in 'MBAM'.[/list:u:8c92d140fb]
[list:8c92d140fb][*:8c92d140fb] Indien 'MBAM' moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op 'OK' klikken!
[*:8c92d140fb] Daarna zal 'MBAM' vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list:u:8c92d140fb]
Hierna post je de inhoud van het MBAM-log.
Tevens een Uninstall-lijst posten:
[list:8c92d140fb][*:8c92d140fb] start HijackThis,
[*:8c92d140fb] klik op de knop Open the Misc Tools section,
[*:8c92d140fb] klik op de knop Open Uninstall Manager,
[*:8c92d140fb] Klik op de knop Save.[/list:u:8c92d140fb] - Dank voor je snelle reactie; ik ga nu eerst naar een verjaardag en vanavond aan de slag met jouw advies!!
- Dan alsnog een leuke middag toegewenst.
- Verjaardag was een beetje uitgelopen………….
Hieronder de geupdate MBAM-log en de uninstall list.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Databaseversie: 4939
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975
25-10-2010 6:18:28
mbam-log-2010-10-25 (06-18-28).txt
Scantype: Snelle scan
Objecten gescand: 133451
Verstreken tijd: 7 minuut/minuten, 19 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 2
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1"-> Quarantined and deleted successfully.
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Adobe Download Manager
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.4.0
AuthenTec Fingerprint Sensor Minimum Install
AutoSizer
CCleaner
CPUID CPU-Z 1.54
HiJackThis
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Inst5657
Integrated camera
Intel(R) PROSet/Wireless Software
iolo technologies' System Mechanic
Java(TM) 6 Update 22
KhalInstallWrapper
K-Lite Codec Pack 4.1.0 (Standard)
LimeWire 5.5.16
Malwarebytes' Anti-Malware
mCore
mDriver
mHelp
Microsoft .NET Framework 3.5 Language Pack SP1 - nld
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile NLD Language Pack
Microsoft Silverlight
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218
mMHouse
mPfMgr
NVIDIA Drivers
OpenOffice.org 3.2
Picasa 3
Realtek High Definition Audio Driver
Secunia PSI
Security Update for CAPICOM (KB931906)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Spelling Dictionaries Support For Adobe Reader 9
Taalpakket voor Microsoft .NET Framework 3.5 SP1 - NL
Taalpakket voor Microsoft .NET Framework 4 Client Profile - NLD
TomTom HOME 2.7.6.2056
TomTom HOME Visual Studio Merge Modules
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Windows-stuurprogrammapakket - Animation Technologies Inc. (TridVid) Media (03/01/2007 1.287.3.20) - Hallo Jos, leuke verjaardagsfeestjes lopen meestal wel uit!
Dat MBAM de twee meldingen niet kan verwijderen, ligt daarin, dat dit verhinderd wordt door [b:f14d7e91f4]iolo technologies' System Mechanic[/b:f14d7e91f4] - Oke, maar moet ik hier verder nog iets mee of kan ik deze meldingen van MBAM verder negeren?
- Indien dat [b:2ed125af19]iolo technologies' System Mechanic[/b:2ed125af19] gedeactiveerd kan worden, dan MBAM starten en hopen dat die twee meldingen dan wel verwijderd kunnen worden!
Want dat is mijn inziens nu eenmaal het nadeel van tools, die het register bewaken, dat malware-registerinstellingen dan ook beveiligd worden tegen verwijderen! - Ik ga proberen of ik System Mechanic kan deactiveren en daarna met MBAM alsnog de infecties kan verwijderen.
Ik zal het nog laten weten als het gelukt is.
@ Abraham54: heel erg bedankt voor de snelle reacties en adviezen!! - Succes ermee.
- Ik zie geen mogelijkheid om het programma System Mechanic te deactiveren.
Ik heb de vraag doorgespeeld naar de helpdesk van System Mechanic.
[u:d164599e53]Hieronder de tekst[/u:d164599e53]:
Support-aanvraag DetailsSupport-aanvraag # Q20101025-13421H Afdeling Software : Iolo System Mechanic E-mail ***********
Onderwerp registerfout Prioriteit Standaard Status In wachtrij
October 25, 2010, 08:29 PM registerfout Klant
Er treed een registerprobleem op in WinVista.
Volgens Malwarebytes'Anti-Malware is dit het probleem:
Registerdata geïnfecteerd:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1"-> Quarantined and deleted successfully.
Dit probleem kan niet door Malwarebytes opgelost worden.
Een deskundige van het forum van Computer Totaal schrijft:
Dat MBAM de twee meldingen niet kan verwijderen, ligt daarin, dat dit verhinderd wordt door iolo technologies' System Mechanic.
Vraag: hoe kan ik System Mechanic deactiveren zodat het programma Malwarebytes Anti-Malware het registeritem kan verwijderen?
Einde bericht.
Ik wacht het antwoord af en zal deze z.s.m. posten. - Ik denk dat de eenvoudigste manier is, dat Iolo tool te deïnstalleren en vervolgens na een herstart van de Pc MBAM zijn werk laten doen.
Daarna kan je overwegen om Iolo weer te installeren! - Ik wil toch even de reactie van de helpdesk van Iolo afwachten.
Kan hem daarna altijd nog deinstalleren en misschien heeft Iolo wel een oplossing.
Ik hou je/jullie op de hoogte!
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
Gerelateerde vragen
- URL zonder extensie wil niet helemaal lukken
- https verbinding met ssl in owncloud
- afspelen met audacity werkt niet goed
- Computer!Totaal-forum maakt plaats voor v&a-module
- computer start soms niet op
- Pro show gold 4 overgangen tussen tekstdia's
- wie kan mij meer vertellen over een Gigabyte GA-B85M-HD3
- Windows Tijdelijke bestanden